 |
确定终端策略
局域网安全的一个关键因素是允许控制(admission control),也就是说,你需要决定是否给予某一个终端访问局域网的权限。多数客户希望保护它们的局域网(和计算机终端)远离病毒和恶意软件,许多人使用终端验证或“状态检查”软件来确认任何试图访问局域网的设备已经被合适的进行了打补丁和升级处理。以下是一些关于状态检查的一些问题:
首先要了解你的终端上运行的软件,比如终端计算机上的反病毒软件,你可能希望你的访问控制能与终端上已有软件能够和平共处,不互相冲突。
尽管目前微软的网络访问保护(NAP)解决方案至今还没有部署(它需要依靠微软将在2008年第一季度发布的Longhorn服务器),考虑到微软的Vista系统进入企业是早晚的事,你可能希望你的网络访问控制平台可以处理微软的NAP终端软件所中继的信息。
另外,你需要考虑那些无法安装一个代理的终端如何处理,诸如打印机、VoIP电话、数码相机等。这些设备将需要使用诸如基于MAC地址的认证形式,因为它们不能运行一个终端代理软件。
现在你已经定义了你的需求,并确定了你的终端策略,现在是时候来看一下你现有的网络,并制定一个需要进行改变的网络计划了。
按需定制 了解你的网络
网络访问控制(NAC)和LAN产品必须与你的交换机和路由器进行交互,同样也需要与其他网络连接的设备和资源进行交互。举个例子来说,有的客户一直在强调,能够保留他们现有网络对他们来说是多么重要,因为他们已经花了大量的投资在上面。如果仅仅是为了实施一个网络访问控制,就让他们进行重大的网络修改,确实有些浪费投资。
我们还注意到,许多客户忽视了利用局域网升级的时间同时实施网络访问控制安全项目的建设。这实际上是一个既省时又经济的办法,因为它实际上将两个项目化为一个项目。不过我们同时也看到很多客户案例,它们没有经过重大的网络改造就可以在局域网中实现网络访问控制。
实际上,不管你是否正处于一个网络升级的阶段,都有一些好的方法供你选择。
如果你的局域网升级刚刚完成,那么就看一下通过什么方法对现有网络产生影响最小但又能实现绝大多数控制。现在的多数安全设备基本上可以支持任何现有的局域网架构。
如果你正要进行局域网升级,那更简单了,在进行网络升级的过程中,同时考虑网络访问控制设计。安全交换机已经在市场上出现,它们一般都包含完整的基于身份的控制功能。
如果你的网络升级已经过去好多年,可以寻找一些可以满足将来网络升级后安全需求的安全设备,这样即使将来网络进行了升级,你的投资也没有浪费。
许多局域网安全解决方案可以在局域网中的多个位置实施,但是多数被设计放在:局域网的边缘,靠近用户实施;在两个网段或两类网络的连接处;靠近数据中心,以保护服务器。
一般情况下,客户会选择它们的最有价值的位置,在那儿开始部署。举个例子来说,如果它们最担心访问者通过会议室的开放端口进入局域网,它们将会首先在这些网口上部署访问控制技术。如果它们最担心临时人员通过VPN从远程访问总部的网络和数据,它们将对VPN增加基于角色和基于策略的访问控制。
考虑一下以下网络位置哪个是你最希望加固的地方:无线区域;会议室;网络边缘;数据中心;VPN网络。
现在,你可能已经收集好了关于局域网安全访问控制解决方案所需要的信息,现在是时候进行试验部署了。
【责编:Zenghui】
|
相关文章
相关产品和培训
文章评论
专题推荐
今日更新
认证培训
频道精选
您现在的位置: 
佚名 
2008-1-18 
